yh 曰く、 "以前話題になった宇宙開発事業団への不正アクセス裁判で、東芝の元社員に懲役8月執行猶予2年の判決が出ました。パスワードを破ったのは親切心からか否かという点で争われた事件でしたが、毎日新聞によると、判決は「三菱電機の情報を入手するためだった」と認定したとのこと。先例になる事件だけに、東京地裁には判決文をぜひ公開してほしいところです。"
観猿、聴猿、謂猿 (スコア:2, 興味深い)
当初は何もなしとの身内の判断が下されたのに、以後世論に押された形。
日本って全体的に外圧に弱い気がします。海外に言われると結構すんなり…
しっかりしよう日本!
やはり自分で考えるように教えてこなかった弊害かと。
Re:観猿、聴猿、謂猿 (スコア:2, 興味深い)
報告して捕まったり賠償モノになってしまったらやってられないしな。
匿名電話相談室ー。 (スコア:1, 興味深い)
それ以前にこのテのケースで有罪になってしまうのをなんとかするべき、というのはさておき。
# 内部告発相談所、みたいなノリで。
# でもビジネスにはならないか...
Re:匿名電話相談室ー。 (スコア:0)
JPCERT/CC では?
匿名だと受け付けてくれないのかな?
Re:匿名電話相談室ー。 (スコア:0)
Re:観猿、聴猿、謂猿 (スコア:0)
それだけ、ユーザにばれなければ面目が保てると思いこんでるアホな管理者や経営者が多いって事。
さすがIT国家。
Re:観猿、聴猿、謂猿 (スコア:0)
行政処分になりましたね。
不正に加担してしまった人は、より大きな不正を防ぐ為に報告…
なんてことを考えないほうがいいという教訓ですね。
Re:観猿、聴猿、謂猿 (スコア:0)
関連なら自分の所も影響がでる罠、流す奴は厨房や元...以下略
Re:観猿、聴猿、謂猿 (スコア:0)
>報告して捕まったり賠償モノになってしまったら
全くその通りですな。
たとえ自分が同じ事を発見したとしても、絶対に報告しませんよ。
Re:観猿、聴猿、謂猿 (スコア:2, 参考になる)
別に普通にしかるべき筋に報告してれば大丈夫だと思うけど。
この場合は、NASDAになるのかな?
実際のデータを上司送リつけて、パスワードの類推方法を上司ら86人にメール [srad.jp]したら、
さすがに「対策を取ってもらうための行為」 [mainichi.co.jp]と言うにはやりすぎでしょ。
でも、報告しても改善されない可能性高そうだしなぁ・・・。
Re:観猿、聴猿、謂猿 (スコア:0)
上司何人までならokなんですか?:P
いずれにせよ、こんなつまらないことでリスクを冒そうとする
Re:観猿、聴猿、謂猿 (スコア:0)
> 上司何人までならokなんですか?:P
上司じゃなくて、然るべき筋(この場合、NASDAのシステム管理者かな)に報告すればって話でしょ。
#意図的な誤読?
> 人知れずデータを回収して黙ってる方が「利口」であるという、
> 司
Re:観猿、聴猿、謂猿 (スコア:1)
気がついた奴は、一生懸命しかるべき筋を探せということですね。そして、そのしかるべき筋を誤った場合には、手が後ろに回るということですね。
まぁ、まともに報告は決してされなくなることだけは確実でしょう。
Re:観猿、聴猿、謂猿 (スコア:2, 興味深い)
がこれ以上なく最悪だったて事だと思います。
>気がついた奴は、一生懸命しかるべき筋を探せということですね。
しかるべき筋の中の一つに間違いなく、自分の直系の上司も含みますよ。
さすがに自分の上司はわかるでしょう。他の筋が解らなければ聞いてれば良いし。
メールを86通も投げる前に、直系の上司に一言相談すれば普通そんな事にはならないでしょう。
当然、顧客のシステム管理者も対象ですが、最終的には「会社の名前で正式に」調査・対策の
依頼を出すべきでしょう。そうしとけば、少なくとも会社の指示で行ったと言えたのに。
顧客・他社が深く関係しているのだから、形式は整えるのが普通です。
>そして、そのしかるべき筋を誤った場合には、手が後ろに回るということですね。
今回の場合、しかるべき筋を誤ったんじゃなく「顧客・他社のデータを無許可で持ち出した」
のが決定的だと思われます。
大体、顧客や他社の資料・データを無断で持ち出したら問題になるに決まってます。
それは電子データだろうが紙だろうが一緒です。 産業スパイってやつですかね。
挙句の果てに他人(上司)にまで送ってますから。
データの中身は知りませんけど、「三菱電機の情報を入手するためだったと認定される」くらい
だから、相応の重要度か量のデータだったんじゃないかな?
いずれにせよ、元社員の対応は視野が狭く、周囲がしっかり見えていなかったように感じます。
特に顧客と他社に対する配慮の欠落は批判の余地は十分ありますね。
# 判決文を読んでないので殆ど推測です。早くアップされないのか・・・。
Re:観猿、聴猿、謂猿 (スコア:1)
上記のようなことを口にする以上、もし問題の社員が直属の上司に話をもちこんでいたら、訴追を受けなかったであろう確かな理由がいうまでもなくあるものとお見受けしますので、お聞かせいただきたいものです。正直分からないので。
#何をやったかの正確なところは判決文の公開を待つしかないが。
Re:観猿、聴猿、謂猿 (スコア:1)
それを重大な悪事であるが如く言うのは無神経にも程があるのではないでしょうか?
Re:観猿、聴猿、謂猿 (スコア:0)
「そんな事」とは「メールを86通投げる」に係っています。
>#何をやったかの正確なところは判決文の公開を待つしかないが。
これは同感です。
Re:観猿、聴猿、謂猿 (スコア:0)
Re:観猿、聴猿、謂猿 (スコア:1)
また、最悪の事態として「暴挙」を行うにしても結果に対する想像も必要でしょう。
私が言っているの「暴挙」に出る前に、やれる事があるだろうということです。
この主張を無神経と言うのであればその通りなのかもしれません。
ただ、私自身は全くそうは思いません。
Re:観猿、聴猿、謂猿 (スコア:0)
Re:観猿、聴猿、謂猿 (スコア:0)
実質的に何が違うのさ。
Re:観猿、聴猿、謂猿 (スコア:0)
Re:観猿、聴猿、謂猿 (スコア:0)
> 気がついた奴は、一生懸命しかるべき筋を探せということですね。
一生懸命探さないと、自分の使っているシステムの管理者も探せないのですか。
> まぁ、まともに報告は決してされなくなることだけは確実でしょう。
まぁ、あなたにまともな報告ができないことだけは確実でしょう。
ところで。
マンションなどで隣の部屋の鍵が開いているとします。
Re:観猿、聴猿、謂猿 (スコア:0)
日常生活だってそうでしょう?税金の問題を警察に持ち込んでも相手にされないし、泥棒にお金を取られたと救急車を呼んでもしかたないわけで。通常
Re:観猿、聴猿、謂猿 (スコア:1)
このWhite Hackerたちのやった事は、
・システム運営上深刻なセキュリティホールがある事を偶然発見。
・それを実証するためのデータを採取して、管理者に送付し、穴を塞ぐように要求した
と言う二点であり、金品を要求する、いわゆる「ゆすりたかり」とは全く違う、善 意からの行為だったのではないですか?
そう考えると、企業の取った告訴と言う処置も、今回の判決も極めて不当な物であると見える のですが。
この判決の問題点は、相手のセキュリティホールを確認して改善を促すWhite Hacking を、相手のセキュリティホールを突いて相手に分からないように相手に損害を与える Crackingと同等かそれ以上に悪い事だと判断した事にあるのではないでしょうか?
このような勘違いした判決が出てしまい、それを「まともな判決」と捉える人が続出す ると、今回彼らがやったように、内々で改善を要求すると言う事が全く出来なくなってしまうのですよ。
そうなると、White hackerに残された道は一つだけ、セキュリティホールを匿名で 公衆にばらして「祭」を誘発して相手の恥を晒す形で改善を要求するしかなくなる 訳ですよ。
こうなると、「セキュリティホール=恥だから公開をやめる」企業が続出して、公開さ れていた資料を非公開にする流れが出来かねない。
今回の判決は何の本質的な解決にもなっていないと思います。
「Cracking=悪い事」と単純に捉えてしまう事が、それだけの悪弊をもたらす事を、是 非とも考えて欲しいと思うのですが。
Re:観猿、聴猿、謂猿 (スコア:2, 参考になる)
*~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~*
1.あるビルに会社が何社か入っていましていました。
そのビルはビルの管理者側で入室用のセキュリティを管理しています。
そのビルの部屋に入るには、各部屋毎のパスワードを入力する必要があります。
2.ある日、そのビルに入っているA社の社員であるBさんが偶然パスワードの規則性を発見しました。
3.ある日の深夜誰もいない時間に、Bさんは自分の推論を確かめる事にしました。
A社とは全く関係ないZ社の部屋の扉をパスワードを入力して開くことを、実際に自分で確認しました。
4.それだけでは、証拠にならないのでZ社の部屋の中にあった適当な書類をコピー機でコピーして持ち出しました。
5.次の日、各部屋のパスワードの具体的な推測の方法を書いた紙を作成し、A社の社員に配って歩きました。
6.また、証拠となるZ社の書類のコピーは上司に提出しました。
<問>
Bさんの行動にはすべからく落ち度がなく、社会人としての常識・モラルに則った行動だと思われますか?
*~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~*
私は行き過ぎだと思います。また、それが普通の見解だと思います。
善意であれば何をしても許されるわけではありません。
善意で合っても、法や社会の常識と照らし合わせて著しく逸脱していれば犯罪となります。
今回の件の本質的な問題は、脆弱性を指摘した事ではありません。
少なくとも、私はそう思います。
Re:観猿、聴猿、謂猿 (スコア:0)
部屋への侵入の場合は、部屋に侵入できた時点で書類も持ち出せることが明白であるのに対して、電磁的記録の場合は、読み
Re:観猿、聴猿、謂猿 (スコア:0)
善意ならば、なにやっても許されるわけじゃないだろ。
ようするに今回の判決は、元社員のやったことは善意の範疇を超えてるってを言ってる事だろ。
そこを理解出来ないと、
>このような勘違いした判決が出てしまい、それを「まともな判決」と捉える人が続出すると、今回
>彼らがやったように、内々で改善を要求すると言う事が全く出来なくなってしまうのですよ。
という歪んだ結論に達するんだろうなぁ。
他で出てた家の例で言えば
1.どっかの家の鍵を
Re:観猿、聴猿、謂猿 (スコア:0)
他人の家の鍵云々は自分の脅威と無関係だけれど、
今回の事件では自社のパスワードも同様に脅威にさらされている
ということを訴えた点が異なる。
Re:観猿、聴猿、謂猿 (スコア:0)
うちのアパートの鍵って、暗証番号なんです。
で、たまたまかどうかは知りませんがその暗証番号が部屋番号と同じなんです。
これがたまたまかどうかを調べるために、隣の部屋の鍵を開けてみたら開いちゃうんです。
でも、これだけだと誰も信じてくれないかも知れないので、証拠品として隣の部屋からアレゲな本を持ってきました。
さらに、大家さんに報告しても握りつぶされるかもしれないの
Re:観猿、聴猿、謂猿 (スコア:0)
どうして実証するためのデータを自分たちで採取する必要があるのでしょう?セキュリティ上の潜在的な問題点に気づいた段階で、管理者たちにその知見を知らせるだけで十分だと思いますが。「ゆすりたかり」じゃないから善意からの行為だ、というのはあまりに単純すぎます。
勘違いはあなたの方ですね。
要するに危機管理というものが判ってない (スコア:1)
クラックにたまたま成功した奴も、その事実を知った同僚や 上司も、クラックされた会社も、宇宙開発事業団も。
つまり危機管理に対して 「無知」でありつづけることは犯罪 という判決が出ただけであり、これでタレコんだり 告発することが抑圧されると考えるのは、同様に危機管理 というものがわかってないということにならないかなぁ。
今回の騒ぎをレビューしてみれば、クラックに成功した 技術者が正しくディスクロージングできていれば、上司 や同僚が正しいディスクロージングというものを知って いれば、クラックされた会社や宇宙開発事業団が正しく ディスクロージングに対応できていれば、犯罪者を 作る ようなことにはならなかったはずなんです。
形こそ違え、雪印、日本ハム、東電なんかの騒ぎに共通 した 病根 が、今の日本の中枢部にはあるのだということでしょう。
--- Toshiboumi bugbird Ohta
Re:要するに危機管理というものが判ってない (スコア:1)
# 「おおむね」なのは判決文を読んでいないので...
危機管理を正しく理解している人は、今回の判決を聞いても行動パターンはさほど変化しないでしょう。
しかし、危機管理を正しく理解していない人はどうでしょうか。安直に「さわらぬものにたたりなし」と考えて、自己の管理責任をより放棄する方向に流されてしまうのではないでしょうか。
また、危機管理を理解していない技術者や統括責任者が多数を占める組織では、今回の判決が組織全体の危機管理能力の低下を招いてしまうのではないかと思います。もっともこれは判決が悪いのではなく、もともと問題を抱えていた組織が悪いのだと思いますが、そういう組織は結構多いような気がするので...
Re:要するに危機管理というものが判ってない (スコア:1)
こんな事末端の技術者に要求するのは無茶苦茶の一語に尽きると思う。上司経由で偶々上手くそういうのに長けた部署に回ればいいが、今回の事件は経緯の報道を見る限り、上司に相談した*結果* 86 人の回覧に至ったという気がしてならない。
それに、日本の中枢部に「病根」があるとするならば、しかるべき対応を期待して挙げた報告が正しく処置されるという期待はできないわけで、たれ込んだり告発することが抑圧されるのは当然でしょう。危機管理ができていない状況で、危機管理ができていることを前提とした理想論ぶったって意味ありません。
Re:要するに危機管理というものが判ってない (スコア:0)
私には、報道された記事のどこにもその妄想の根拠を見つけることはできません。
それと、回覧に至っただけなら実刑判決が出るほどにはならなかった
Re:要するに危機管理というものが判ってない (スコア:1)
>#ただ、上司も犯罪者となるところだけが違いです。
「だけ」じゃなく、恐らくその場合は情状酌量の余地があるので多少でも減刑されると思います。
会社自体も対象になれば、更に。
給料貰ってるとは言え、毎日一生懸命働いてるんだから会社という組織を利用する程度の事は
覚えないと・・・。
# まあ、これも間違った方向に行き過ぎると犯罪だけど。
Re:要するに危機管理というものが判ってない (スコア:1)
>データを盗んだことについてはどうお考えでしょうか。
データを盗んだ時点ではなく、他社のパスワードでログインした時点で犯罪行為は成立している可能性が高い。今回不正アクセス防止法が論点になっていることをお忘れでは。今回の事件に即して言えば、もちろん、データを盗んだことは論外ですし、 善意の行為であるとの主張ができなくなったのも、まさにその点が 論点になっていたらしいことは報道から伺えますね。
但し、どこまでが善意の行為かの線引きができない時に、いきなり 刑事訴追を受けるかもしれないと言うリスクの存在ははっきりしたわけです。まともな報告はされなくなるだろうというのはそれを受けてのことですし、おもしろおかしく 2ちゃんねるあたりに掲載されるのを自分で招いているようなものとは言えましょうね。
#普通こういう AC ばかりのスレッドには口挟まないんですけど、今回は、
#セキュリティホールのディスクロージャに当たって許される検証の手法
#の範囲の限定に関わる問題だから。
Re:要するに危機管理というものが判ってない (スコア:0)
>リスクの存在ははっきりしたわけです。
はあ?そんなもん最初っからわかりきってるじゃん。
善意だろうが悪意だろうが、法に触れりゃ刑事訴訟される可能性があるのは当たり前。
名誉毀損なんていい例じゃん。相手の受け取り方ひとつ。
単に脆弱性の指摘って事で無意味に過剰反応してるだけだろ。
Re:要するに危機管理というものが判ってない (スコア:1)
#AC は普通は相手しないんだが
86 人に回覧したこと自体が問われているわけではないですから、それに無関係と断言する根拠はどこにもないですね。逮捕時の毎日報道によると、上司にデータを見せて報告した、そして 86 人に事実関係のみ連絡したとなっています。
#ヒントあげたんですから、何が起こったか100字以内で想像しましょうね。子供じゃないんだから。
Re:要するに危機管理というものが判ってない (スコア:0)
特別扱いありがとさん。
>逮捕時の毎日報道によると、上司にデータを見せて報告した、そして 86 人に事実関係のみ連絡したとなっています。
どの辺が? [mainichi.co.jp]
>86 人に回覧したこと自体が問われているわけではないですから、それに無関係と断言する根拠はどこにもないですね。
無関係であると断言する根拠がない事を知りたいのではなく、関係あるという根拠が
Re:要するに危機管理というものが判ってない (スコア:0)
中枢部?
むしろ、一般の人、普通の人の認識がその程度と捉える方がよいのではありませんか?
東芝社員? (スコア:1, 興味深い)
東芝から出向した社員だったのでしょうか?
事件の後、簡単に類推できるパスワードでも不正アクセスまかりならんと、社内ネットのe-ラーニングで全社員対象の社員行動規範の教育を受講させられました。
Nの関係者なのでACでし
Re:東芝社員? (スコア:1)
# そんなでは日本の防衛・宇宙産業の先行きは暗いな…
Re:東芝社員? (スコア:0)
>つまり、最低でもN社では
って自分でも書いているのに、どうして
> # そんなでは日本の防衛・宇
超オフトピでごめんなさい>一部以外 (Re:東芝社員?) (スコア:1)
この手の低級な挙げ足取りにはあまり突っ込みませんが、
どこの会社も内情聞くと、管理体制は五十歩百歩みたいだし、日本の航空宇宙(防衛)企業でこういう、旧態依然とした危機管理をやっているようでは、こりゃ駄目だな。って事ですが。
私の言葉の足りなさとか些細な表現の誤りを発言者の資質や人格の失格に無理矢理結び付けるような攻撃スタイルはやめませんか?
# 粘着さ加減からすると「ウォッチャー」さんなのかな?
# いい加減止めたらいかがですか?今度は刑事告訴しますよ。
Re:超オフトピでごめんなさい>一部以外 (Re:東芝社員 (スコア:0)
N, M, Tというのが何を指しているのかがはっきりと分かりませんが、この記事に関連して出てくる企業ということで、それぞれNEC, 三菱電機, 東芝ということでよろしいでしょうか。
それなら、電子装備に関する代表的なメーカなのは同意しますが、元発言にある
># そんなでは日本の防衛・宇宙産業の先行きは暗いな…
というような、防衛・宇宙産業を代表するメーカであるとは全く思いません。
#代表的なところ
Re:東芝社員? (スコア:1)
グループ内には、「本人は、これが不正アクセスであると
知らなかったと言っているが、知らなかったではすまんぞ」
という通達が出ましたよね。
でも、Yahooニュースには、「脆弱性を指摘するつもりだった」
とか。
本人が言い分を変えたのか?
違う人なのか?
報道が間違っているのか?
知りたいです。
Re:東芝社員? (スコア:0)
脆弱性を指摘するつもりで、かつ、不正アクセス禁止法を知らなかった。
Re:東芝社員? (スコア:1)
そうすると、不正アクセス禁止法を含む、「こんなことしては
いけません」教育が行われたのは正しいですね。
とほほです。